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Grundlagen 


• OSI 




• IP 




• UDP 




• TCP 





OS I Mode 11 



Anwendung 
Darstellung 
Sitzung 

Transport 

Netzwerk 
Sicherung 

Bitiibertragung 



Internet Protocol (IP) 

• Jeder Teilnehmer hat eindeutige 
Adresse 

• Netzwerk kennt jede Route 

• IPv4: 32 Bit Adressen 

• IPv6: 128 Bit Adressen 

• Verbindungslos 

• Unzuverlassig 



User Datagram Protocol 

(UDP) 

• Multiplexer 

• 65535 Ports 

• Verbindungslos 

• Unzuverlassig 



Transmission Control 
Protocol (TCP) 

• Multiplexer 

• 65535 Ports 

• Verbindungsorientiert 

• Zuverlassig 

• Bidirektionaler Datenstrom 



Funktionsweise 



• Filtern des Netzwerkverkehrs 

• Filtern auf Anwendungsebene 

• "Verstecken" des Rechners 

• Weitere Zusatzfunktionen: 

- Schutz persdnlicher Daten 

- Ad-Blocking 



Funktionsweise 

• Kein Austausch der winsock.dll 

• Kerneltreiber 

• Dienst 

• Benutzerschnittstelle (GUI) 



Funktionsweise 



• Name Schliissel Werte Ordner 

• Norman 1.3 16 41 9 

• Outpost 1.0.187 90 258 17 

• ZoneAlarm 5.1 Pro 163 434 8 

• Sygate 5.5 167 475 8 

• Kerio 4.1.2 478 692 9 

• Tiny 6.0.140 1630 1970 16 

• Norton 2005 3404 5340 23 



Dateien Teiber Dienste 

64 1 1 

77 1+n 1 

72 2 1 

53 6 1 

63 1 1 

357 8 5 

330 8 8 



Funktionen 



• Vertrauliche Inf ormationen blockieren 

• Firewall reaktivieren 

• Computer verbergen 

• Eingehenden Datenverkehr abwehren 

• Internetzugrif f durch Programme verhindern 

• Ad-Blocker 

• LiveUpdate 



Angriffe von auften 

• Angriffe auf Dienste 

• Angriffe auf PFW 

• Alternativen zu PFW 



Angrif f e auf Dienste 



• Dienst soil erreichbar sein 

- Dienst ist Angrif fsziel 

- kein Schutz durch PFW moglich 

• Dienst soil nicht erreichbar sein 

- PFW ist Angrif fsziel 

• Protokollverletzung 

• Buffer Overflow 

• Self DoS 



Angriffe auf Dienste 



• Witty-Wurm 

• ISS BlacklCE 3.6 

• Stack-Overflow im Protocol- 
Analyzer 

• Verwundbarkeit besteht nur, wenn 
der Rechner "geschutzt" ist ;-) 



Funktionen 



• Vertrauliche Inf ormationen blockieren 

• Firewall reaktivieren 

• Computer verbergen 

• Eingehenden Datenverkehr abwehren X 

• Internetzugrif f durch Programme verhindern 

• Ad-Blocker 

• LiveUpdate 



Angriffe von innen 

(ohne Adminrechte ) 

• Exkurs : Windows Nachrichten 
System 

• Leak Test 

• Privilege Escalation 



Windows-Nachrichtensystem 



le-Q 



System-Message-Q 



Translate 




"ciickr 




CPU 



IRQ12 



Driver 






WM NCHITTEST 



1 K L 

spatchei 



WindowProc 
{Message Handler) 



User Simulation 



• PFW fragt Benutzer 

• Program sendet Nachrichten an 
Fenster 

- Sicherheitseinstellungen vornehmen 

- auf OK "klicken" :-) 



wwwsh 



• Trojanisches Pferd startet IE 

• Fernsteuerung liber 
Fensternachrichten 

• Information base64 kodiert in URL 

• Hinweg: URL ansurfen 

• Ruckweg: 

- Meta Refresh 

- URL Zeile auslesen 



Funktionen 



• Vertrauliche Inf ormationen blockieren 

• Firewall reaktivieren 

• Computer verbergen 

• Eingehenden Datenverkehr abwehren X 

• Internetzugrif f durch Programme verhindern X 

• Ad-Blocker 

• LiveUpdate 



Privilege 



• Programmf ehler 

• Shatter Attacks 



Escalation 



Ausspahen leicht gemacht 

• Vertrauliche Daten zentral 
gespeichert 

• Internetverkehr wird gescant 

• Datei ist "verschliisselt" 

• Verschlusselung ist nicht 
personalisiert . . . 



Danke, Symantec :-)=) 



Funktionen 



• Vertrauliche Inf ormationen blockieren 

• Firewall reaktivieren 

• Computer verbergen 

• Eingehenden Datenverkehr abwehren X 

• Internetzugrif f durch Programme verhindern X 

• Ad-Blocker 

• LiveUpdate 



Arger mit PFW 

• ICMP Blocking 

• Systemresourcen 



Funktionen 



• Vertrauliche Inf ormationen blockieren 

• Firewall reaktivieren 

• Computer verbergen X 

• Eingehenden Datenverkehr abwehren X 

• Internetzugrif f durch Programme verhindern X 

• Ad-Blocker 

• LiveUpdate 



Fazit 



• PFW kann ihre Aufgabe nicht 
erf ullen 

• PFW bringt weitere 

Angrif f svektoren ins System 

• PFW verandert Systemverhalten 

• PFW bremst System aus 



PFW sind als Sicherheits system 
fiir Endanwender nicht geeignet 



Q&A 



Links 



